2. El nuevo reglamento
Aplicación a partir del 25 de mayo de
2018.
MOTIVOS:
Incremento del intercambio de datos
(cambios tecnológicos)
Necesidad de un marco normativo
único para toda la UE.
OBJETIVOS:
Dar más garantías de control al
ciudadano.
Simplificar la regulación.
Medidas específicas para los grandes
de internet.
Libre circulación de datos personales
en la UE.
Establecer reglas claras para la
transferencia internacional de datos.
De la burocracia a la CULTURA
EMPRESARIAL por la privacidad.
3. ¿Qué debe tener mi negocio,
actividad, web...?
• Ficheros registrados en la AEPD (clientes, usuarios web, proveedores, etc.)
• Tener un documento de seguridad actualizado.
• Firmar compromisos de confidencialidad trabajadores (si los hay).
• Firmar acuerdos con encargados de tratamiento (terceros con acceso a
datos).
• Incluir cláusulas información y consentimiento (mail, facturas, documentos,
...).
• Avisos legales web (aviso legal, política privacidad, política galletas,
newsletter, etc.)
• Atender derechos ARCO.
• Implantar las medidas técnicas implantadas (RD1720 / 2007).
4. La LSSICE
• 'AVISO LEGAL' (art.10 LSSICE): razón social, CIF, datos de contacto, datos inscripción registro, datos de profesión regulada, códigos
de conducta, ...
• 'POLITICA DE PRIVACIDAD' (LOPD): Informar del tratamiento que se hará de los datos recogidos.
• 'POLITICA DE COOKIES' (LSSICE): Si se utilizan informar de su utilización, la finalidad y los mecanismos para desactivarlas.
• 'CONDICIONES Gral. CONTRACTACIO '(especificas para cada tienda online).
• 'CLAUSULA POR COMUNICACIONES COMERCIALES': Posibilidad de darse de baja.
Otros avisos legales:
• formulario de contacto web
• sección envío CV, etc.
• términos y condiciones (apps)
5. Web: requisitos legales
1) Aviso de cookies si hay Google Analytics (programa de estadística)
• Una cookie es un fichero que se descarga en su ordenador al acceder a determinadas
páginas web. Las cookies permiten a una página web, entre otras cosas, facilitar
técnicamente la navegación, elaborar estadísticas de uso, almacenar y recuperar
información sobre los hábitos de navegación de un usuario o de su equipo y,
dependiendo de la información que contengan y de la forma en que utilice su equipo,
pueden utilizarse para reconocer al usuario.
6. • Las cookies se pueden clasificar en diferentes categorías dependiendo de
la entidad que las gestione, el plazo de tiempo que permanecen activas (su
caducidad, vaya) o según su finalidad. Es posible que una misma cookie
pueda estar incluida en más de una categoría.
• Cookies analíticas: estadísticas sobre la actividad del usuario al visitar la página web
y la actividad general. La información recopilada es anónima y permite optimizar la
navegación por nuestra página web y garantizar el mejor servicio al usuario. El
usuario puede excluir su actividad.
• Cookies técnicas y de personalización: se trata de cookies de uso interno para el
funcionamiento de la web.
• Cookies de sesión: son un tipo de cookies diseñadas para recabar y almacenar datos
mientras el usuario accede a una página web.
• Cookies persistentes: son un tipo de cookies en el que los datos siguen almacenados
en el terminal y pueden ser accedidos y tratados durante un periodo definido por el
responsable de la cookie (caducan).
• Cookies propias: son aquellas que se envían al equipo terminal del usuario desde un
equipo o dominio gestionado por la empresa y desde el que se presta el servicio
solicitado.
• Cookies de terceros: son aquellas que se envían al equipo terminal del usuario desde
un equipo o dominio que no es gestionado por la empresa, sino por otra entidad que
trata los datos obtenidos a través de las cookies.
7. 2) Aviso legal
• CIF/NIF + dirección
3) Aviso de LOPD en todos los formularios de recogida de datos:
• Especificar para qué se utilizarán los datos
• Si tienes previsto realizar alguna sesión de datos a terceros (otros bloggers, informático,
etc.)
• Cómo pueden acceder, modificar o darse de baja
• Tienen que inscribirse los ficheros en la Agencia Española de Protección de Datos (AEPD)
• Elaboración de un Documento de seguridad y de sus anexos, donde se
establezcan los protocolos de trabajo y las medidas de seguridad a aplicar.
Este documento es de obligado cumplimiento para todo el personal con
acceso a los datos y debe ser presentado a la AEPD en caso de inspección.
Obligatorio para todos los responsables de los ficheros o tratamiento de
datos. Todo acto de recogida y posterior tratamiento de información personal,
requiere el consentimiento explicito por parte del usuario de tus términos y
condiciones: no vale solo con informar, debes requerir siempre su
conformidad, para ello, debes generar un procedimiento de “acepto” que no
debe estar marcado por defecto y debe ser condición para poder validar al
usuario.
8. • Contenidos originales
• Además de no cumplir los derechos de explotación del autor, los textos duplicados penalizan en
Google
• Imágenes libres de derechos o realizadas por nosotros
• Pixabay
• Ojo con los fotógrafos
• Google imágenes, filtrando las que son libres de derechos (pantalla siguiente). Ojo: vigilemos con
las imágenes de Flickr
• Si utilizas el dominio .cat es obligado tener la web en catalán. Su incumplimiento es
denunciable a la Fundació .Cat de Barcelona y puede comportar sanciones o incluso el
cierre de la web
• Activar https si tu web tiene pago por tarjeta, porque permite la navegación cifrada.
• Malas prácticas en webs:
• Registrar dominios de marcas registradas. Penalizado.
• Crear direcciones IP falsas o utilizar identidades falsas.
9.
10. Boletín electrónico
• Los contactos deben haber dado su autorización, ya sea online o
presencialmente
• Debemos especificar cómo darse de baja o modificar les datos en el propio
correo
12. Redes sociales
• No uso de perfiles privados para finalidades comerciales: Facebook,
Linkedin...
• No uso indebido de los contactos de Linkedin (es la única red social
que nos permite descargar los e-mails de los contactos)
• Los datos privados, siempre por mensaje privado
• Malas prácticas:
• Crear GIF si no son originales y extenderlos por la red
• Crear en las redes sociales cuentas falsas
• Autorizar a un menor a crear una cuenta de red.
14. CRM, almacenamientos en la nube y
copias de seguridad
• Si están en nuestras oficinas, cerrado con llave
• Declarar la periodicidad y el sistema de copias de seguridad
• Hacer constar contratos con terceros con los que se han externalizado
servicios (por ejemplo, en el caso de un informático o una gestoría
que nos haga nóminas o facturas)
15. Ordenadores
• Todos los ordenadores protegidos por contraseña
• Cambiar la contraseña mínimo una vez al año
• Diferentes para cada usuario
• Distintos niveles de seguridad: no todos los usuarios pueden acceder a
consultar datos privados
• Alojar los documentos en la red de la empresa, no en cada ordenador.
• Restricción de acceso a servicios de compartición de archivos
16. Errores habituales y Malas prácticas
• NO tener los fichas inscritos en la AEPD.
• Tener sólo los archivos, no la documentación al día.
• No atender los derechos ARCO - baja newsletter.
• Realizar la auditoría a través de la 'tripartita'.
• Controlar el correo del trabajador sin informar.
• Pensar: 'yo no trato datos, eso a mí no me afecta'.
• Copiar el aviso legal de otra página web.
• Grabar conversaciones -por ejemplo de Skype- y compartirlas, al igual que
archivos de red, si no existen los permisos.
• Compartir contraseñas para acceder a programas en línea, etc. (por ejemplo para
no pagar dos veces)
• Hacer negocios con E-bay o Paypal y no declararlo
17. Si lo necesitas, aquí tienes un código
descuento de nuestros abogados
Servicio online para pymes y autónomos
www.pymelegal.es
Código descuento: TXCO-LOPD